Co jsem cetl tak nejde o vendor lock, ale o vyuziti bezpecnostni funkce CPU, kdy je uz z vyroby nastaveno zamceni CPU na konkretni zakladni desku. Tj. pokud odejde deska CPU nelze pouzit ani v jine totozne od Lenova.
Pokud se da do desky bezny retail CPU tak funguje. V BIOSu lze zapnout totoznou funkci a pak uz ani toto retail CPU nefunguje v jine desce. Funkce ma svou logiku, ale problem je v jejim automatickem zapnuti :-( .
Odpovědět2 1
To by znamenalo, že pokud by někdo vzal CPU z fabriky ještě před jejich zasazením do desky s touto funkcí tak je možné je normálně použít. Z tohoto článku jsem si to přebral tak, že konkrétní typ desky bude mít určitý kód a na tom bude CPU "zamknuté". Tzn. umře deska vezmu jinou stejného typu a CPU bude klokotat vesele dál.
Kdyby bylo CPU vázáno na jednu jedniou desku tak už tam může být rovnou napájené napevno.
Odpovědět1 0
To nebude na uzamknute na konkretnu dosku ale na kluc. To CPU bude fungovat v kazdej doske, ktora bude mat ten kluc.
Takto som to ja pochopil.
Odpovědět0 0
Premyslejte. Jaky by z bezpecnostnich duvodu melo smysl blokovat CPU na typ desky? Blokovani je na konkretni desku. Stejne tak to lze provest s grafickymi kartami generaceVega a novejsimi. Je to jen otazka podpory v UEFI. Aktivaci funkce lze provest jen jednou.
https://en.wikipedia.org/wiki/AMD_Platform_Security_Processor
Odpovědět0 1
No právě že to z bezpečnostních důvodů smysl nedává. Není to fixace na konkrétní desku, ale konkrétní klíč. Klíč, který zatím vlastní jen Leninovo. Tedy v jejich prostředí to půjde vždy vyměnit, pokud budou chtít.
Vypálené klíče, exkluzivity, lehké fixlování v grafech ... vypadá to, že s jídlem roste chuť a AMD začíná vlčet a mě se to přestává líbit. Doufám, že je Intel opět zpraží.
Odpovědět0 0
Pravda, testy občas mírně neodpovídají. Ale stále je to drobnost orpoti Intelu, kdy byl na AMD stock chladič a na Intelu kryo lednička. Nebo si vzpomínám, jak v době "hyperthreadingu" vyzdvihovali výkon více vláken. A pak bum, AMD najednou mělo silnější a jak se pěkně přepisovaly testy, jelikož "tolik vláken už je přeci zbytečných a běžný uživatel to nevyužije."
Odpovědět0 2
Zkuste to dat do jine Lenovo desky, a uvidite, ze to nefunguje. Intel ma obdobu v podobe Management Engine. Chyba neni v dane funkci, chyba je, ze to Lenovo automaticky zapina bez moznosti volby ze strany zakaznika.
Je spousta mist, kde zapnuti takove funkce dava velky smysl - tam kde je nutna extremni bezpecnost.
Odpovědět0 1
Ty jsi řádně mimo. AMD Platform Security Processor ani Intel Management Engine nemají s tímhle vendor lock-in nic společného.
Pleteš si to s AMD Platform Secure Boot a CPU je tímto postupem svázán s konkrétním digitálně podepsaným firmwarem. Tedy bude fungovat na všech deskách, který ten podepsaný FW budou mít - už se těším, až budou po netu běhat unlockery s ukradenými klíči.
A ne, v žádné oblasti to z hlediska bezpečnosti nedává smysl. Nebo tu chceš tvrdit, že přendání CPU z "extrémně bezpečné" mašiny do mašiny jiné, nějak sníží bezpečnost té první? :D Kde prosím tě žiješ?
Odpovědět0 0
Obavam se, ze naprosto mimo jsi ty. V "dnesnich" (ona je to uz je to docela dlouho) CPU od Intelu i AMD je nekolik micro CPU jader pro vnitrni rizeni, ktere jsou casto v behu i ve vypnutem stavu (pokud do PC jde energie). Dokazou zpracovavat i zvuk z mikrofonu, a dalsi podmety. Z operacniho systemu se k nim nelze nijak dostat. V tomto pripade, pokud nesouhlasi klic tak velka jadra ani nejsou aktivovana. Zapis klice do CPU je jednorazovy, nelze jej prepsat. Zadny unlocker nenapises. A, ano prendanim HW nekam jinam lze vyuzit k pristupu ke chranenym datum. Kdyz o necem naprosto nic nevis, tak but radeji ticho.
Odpovědět0 1
Mícháš tu dohromady tolik věcí, že ani nevím, kde začít. Tak snad jen ve zkratce, abys věděl, co si máš dostudovat:
1. AMD Platform Security Processor ani Intel Management Engine nemají s tím jednorázovým zápisem nic společného. Za to může jiný k tomu navržený obvod.
2. Unlocker nebude na CPU, ale na firmware desky - stačí ho totiž jen správně podepsat, aby CPU fungoval.
3. Možná si to pleteš s Cold boot attack. Ten byl demonstrován u RAM. Ukaž věrohodný příklad kdy se přendáním CPU kompromitovala data z původního stroje a hluboce se ti omluvím.
Odpovědět0 0
1. Pletes se ty. Tuto funkci opravdu resi PSP. Ten jednorazovy zapis pochopitelne je vyvolan z UEFI. PSP je odpovedne za inicializaci CPU. K inicializaci CPU pokud nesedi kod vubec nedojde. Kdyby to resilo vyhradne PSB, neslo by zabranit inicializaci CPU v jine desce a funkce by mohla jen blokovat pro zmenu vlozeni jineho CPU do desky. Coz se pro zmenu nedeje.
2. Prani otcem myslenky. Tohle nebude pasivni klic.
3. Nepletu. Pochopitelne taktez nevim v soucasnosti o zadne moznosti, jak toto vyuzit u CPU, ale chapu, ze jsou mista, kde se budou chtit proti teoreticke moznosti pojistit. Jak uz jsem rekl, je totalni blbost nasazovat hromadne zamek CPU, ale pro specificke pripady se tomu nebranim.
Nikde neni tato funkcionalita popsana, stejne jako fungovani AMD PSP nebo Intel MEI. I kdyz je pravda, ze pro Intel MEI starsi verze zdrojaky unikly. PR diagramy atd, z toho se vychazet neda.
Odpovědět0 1
"Nikde neni tato funkcionalita popsana, stejne jako fungovani AMD PSP nebo Intel MEI"
Přesto ti nepřijde hloupé sem psát zaručené informace, jak to funguje. Neděláš tam náhodou údržbáře?
Ještě bych prosím rád věděl, co si představuješ pod pojmem "pasivní klíč".
Odpovědět0 0